McAfee : quand un faux positif fait planter Windows XP

Distribuée mercredi, la dernière mise à jour de l'antivirus McAfee a entrainé le signalement comme menaces potentielles de processus système valides. Partout dans le monde, des machines équipées de Windows XP SP3 ont alors été victime de plantages à répétition. Leur nombre exact n'est pas connu, mais de nombreuses entreprises ou organisations ont été victimes de la détection de ce faux positif. Dans le lot, plusieurs lecteurs de Clubic, qui nous ont fait part des problèmes rencontrés.

« Nous avons été victime ce jour d'une série de reboot violents de machines au bureau, suite à une détection d'un possible virus "w32/wecorl.a". McAfee, tentait alors d'éradiquer le virus, détruisant entre autre les processus "svchost" potentiels porteurs du virus. Puis, à la Sasser, le redémarrage forcé du PC dans les 60 s s'enclenchait. A la suite de cela, la plupart des machines n'ont plus été en mesure de fonctionner normalement, problème d'accès réseau principalement », raconte par exemple A. B.

L'éditeur a rapidement reconnu le problème et tenté d'en expliquer l'origine. Ses équipes auraient récemment découvert une nouvelle menace informatique susceptible d'atteindre les machines équipées de Windows. Mercredi, aux alentours de 2 heures de matin, elles ont donc distribué une mise à jour de la liste des définitions de menace (DAT 5958) sur laquelle repose le mécanisme de détection intégré à son logiciel. Problème : la menace concernée a parfois été détectée sur des machines saines (principe du faux positif), au niveau de certains des processus génériques svchost.exe, entrainant la désactivation de ces derniers, alors qu'ils sont indispensables au fonctionnement du système.

Quelques heures après la mise en ligne de cette mise à jour défectueuse, McAfee a reconnu l'existence du problème et fait procéder à son retrait. Nous sommes en train de déterminer comment cette détection incorrecte a pu être intégré à nos fichers DAT et allons prendre des mesures pour éviter que cela se reproduise, a indiqué mercredi soir Barry McPherson, vice président support chez McAfee. « Les erreurs arrivent. Aucune excuse », a-t-il ajouté dans un second temps, en tentant tout de même de relativiser la portée de l'incident : « Nous pensons que cet incident a touché moins de un demi pour cent de notre base de clients particuliers et entreprises dans le monde ».

L'éditeur invite les utilisateurs touchés par le problème à lancer une recherche de mise à jour au sein de l'antivirus, de façon à ce que la mise à jour fautive soit écrasée par la précédente liste de définition. Si la mise à jour n'était pas possible, il propose également une méthode manuelle permettant de régler le problème.

Si rapide qu'ait été la réponse, certains risquent de garder un mauvais souvenir de l'épisode. « Leur solution a été de procéder à un downgrade forcé vers la 5957 et de copier le fichier svchost.exe d'un autre pc si celui ci a été supprimé. Ils ont quand même mis la journée à enlever leur MAJ corrompue ! C'est un scandale ! Demain je dois passer sur tout mon parc informatique de 300 machines pour faire la manipulation », tempêtait J. G. mercredi soir dans un courrier adressé à la rédaction.